Les logiciels open source sont devenus un pilier de la plupart des applications, mais ils ont également créé des défis en matière de sécurité pour les développeurs et les équipes de sécurité. Des enjeux qui pourraient être surmontés par le mouvement croissant du « shift left », selon deux études récemment publiées.
Plus de quatre entreprises sur dix (41 %) n'ont pas une grande confiance dans la sécurité de leur environnement open source, révèlent les chercheurs de Snyk, spécialisée dans la sécurité des développeurs, et de la Fondation Linux dans leur rapport The State of Open Source Security. Ce dernier est basé sur une enquête auprès de 550 répondants au premier trimestre 2022 ainsi que sur des données de Snyk Open Source, qui a scanné plus de 1,3 milliard de projets. Ce rapport note également que le temps nécessaire pour corriger les vulnérabilités dans les projets open source n'a cessé d'augmenter au cours des trois dernières années, faisant plus que doubler, passant de 49 jours en 2018 à 110 jours en 2021.
Débat sur l'open source : productivité vs. sécurité
Le rapport note également que le projet moyen de développement d'applications comporte 49 vulnérabilités et 80 dépendances directes lorsqu'un programme fait appel à du code open source. Qui plus est, il révèle que moins de la moitié des organisations (49 %) disposent d'une politique de sécurité pour le développement ou l'utilisation des logiciels libres. Ce chiffre est pire pour les moyennes et grandes entreprises : 27 %.
« Les développeurs ont aujourd'hui leurs propres supply chain (cycle de développement) », explique Matt Jarvis, directeur des relations avec les développeurs chez Snyk, dans un communiqué. « Au lieu d'assembler des pièces de voiture, ils assemblent du code à base de composants open source et de leur propre architecture. Bien que cela conduise à une productivité et une innovation accrues, cela a également créé des problèmes de sécurité importants ».
Déplacer la sécurité pour révéler les vulnérabilités plus tôt
Une autre enquête - l'AppSec ShiftLeft Progress Report - suggère qu'une meilleure sécurité des logiciels libres peut être obtenue en déplaçant la sécurité « à gauche ou en amont » ou plus près du début du cycle de vie du développement. Le rapport, basé sur l'expérience des utilisateurs du produit Core de ShiftLeft, révèle que 76 % des vulnérabilités récentes sont corrigées en deux sprints. L'une des raisons pour lesquelles les failles sont corrigées si rapidement réside dans la célérité de leur découverte. « Chaque modification apportée au code par un développeur est analysée en 90 secondes en moyenne », explique Manish Gupta, CEO et co-fondateur de ShiftLeft. « Comme le code est encore frais dans l'esprit du développeur, il devient plus facile pour lui de corriger la vulnérabilité ».
Le rapport reconnaît que les améliorations apportées à son logiciel ne sont pas la seule raison du renforcement des temps de scan. « Nous avons vu la taille moyenne des applications en termes de lignes de code diminuer », note-t-il. « Cela s'aligne sur le fait que davantage d'organisations passent aux microservices et à des applications plus petites et plus modulaires ».
Une analyse accrue des failles
Les clients de ShiftLeft ont également constaté une diminution de 97 % du nombre de vulnérabilités open source (OSS) qu'ils devaient corriger dans leurs applications, car les adversaires ne pouvaient exploiter que 3 % de ces vulnérabilités. Lors de l'analyse des vulnérabilités OSS, a noté M. Gupta, l'important n'est pas le nombre de vulnérabilités d'une application, mais l'endroit où elles peuvent être exploitées par une personne mal intentionnée.
L’entreprise a également indiqué que ses clients ont amélioré de 37 % le temps moyen nécessaire pour atténuer les vulnérabilités, le ramenant de 19 jours en 2021 à 12 jours en 2022. Elle a attribué cette baisse aux développeurs et aux équipes de sécurité qui effectuent davantage d'analyses plus tôt dans le processus de développement. « Certains de nos clients effectuent jusqu'à 30 000 analyses par mois », a déclaré Manish Gupta.
La vulnérabilité est-elle réellement exploitable ?
Le rapport soulève la question suivante : « La vulnérabilité est-elle réellement accessible par un attaquant ? » Cette question est importante lorsqu'il s'agit de s'attaquer à des failles de type zero day telles que Log4J, auxquelles certaines entreprises sont encore confrontées plusieurs mois après sa découverte en décembre 2021. Elle affirme que 96 % des failles Log4J utilisés dans les applications de ses clients ne risquaient pas d'être attaquées. Remédier à des vulnérabilités qui ne sont pas exploitables n'aura aucun impact sur le risque. Les entreprises devraient plutôt les déprioriser et se concentrez sur les autres.